Supporters van KV Kortrijk zien hem elke week op de truien van hun team, de merknaam mydigipass.com. Minder bekend is dat daarachter een grootschalige diversificatie van hun shirtsponsor schuilgaat. De firma Vasco uit Wemmel schittert in de beveiliging van toegang tot bankdiensten. Op ING na, gebruiken alle grotere Belgische en meer dan 1700 financiële instellingen wereldwijd het Vasco-authenticatiesysteem met zijn eenmalige paswoorden. Vorig jaar steeg de omzet van Vasco met 56 procent, in bancaire toepassingen zelfs met 72 procent. De bedrijfswinst verdubbelde.
...

Supporters van KV Kortrijk zien hem elke week op de truien van hun team, de merknaam mydigipass.com. Minder bekend is dat daarachter een grootschalige diversificatie van hun shirtsponsor schuilgaat. De firma Vasco uit Wemmel schittert in de beveiliging van toegang tot bankdiensten. Op ING na, gebruiken alle grotere Belgische en meer dan 1700 financiële instellingen wereldwijd het Vasco-authenticatiesysteem met zijn eenmalige paswoorden. Vorig jaar steeg de omzet van Vasco met 56 procent, in bancaire toepassingen zelfs met 72 procent. De bedrijfswinst verdubbelde. "Het probleem is dat we groeien met pieken en dalen. Aandeelhouders willen een opgaande lijn, zodat ze voorspellingen kunnen maken", zucht president en chief operating officer Jan Valcke. Zopas stuurde Vasco een winstwaarschuwing uit. De omzet zal niet op 175 miljoen dollar uitkomen, zoals verwacht, maar op "150 tot 157 miljoen" dollar, een daling met 6,6 tot 10,8 procent. De bedrijfswinstmarge van 14,7 procent valt terug tot "11 à 13 procent". Vasco blijft wel rendabel. Maar het bedrijf hangt voor zijn score te zeer af van één enkele spits: digitale authenticatie. Dat zijn systemen om vast te stellen of een elektronische gebruiker inderdaad is wie hij beweert te zijn. Het bedrijf is ook steeds meer afhankelijk van een beperkte groep klanten, ook al heeft Vasco er meer dan 10.000. Eén klant was in 2011 goed voor 17 procent van de omzet, de grootste tien klanten zorgden voor 47 procent. Ook nu weer zijn het de banken die het laten afweten, met lagere bestellingen in het derde kwartaal, bevestigt Vasco-voorzitter en CEO, T. Kendall Hunt. Vandaar dat Vasco op zoek is naar diversificatie. "Wat wij nodig hebben, is een stabiele inkomstenstroom. Daar moet onze 'Digipass as a Service' voor zorgen", zegt Valcke. Tot nog toe haalt Vasco een groot deel van zijn omzet uit het traditionele inkomstenmodel van de informatica: licenties op serversoftware, licenties per gebruiker en onderhoudscontracten. Digipass as a Service, met een tarifering volgens gebruik, is twee jaar oud. Vasco beheert hier zelf de online-authenticatieserver die controleert of de gebruikers de juiste eenmalige code invullen. "Vasco doet het moeilijke stuk. Je kan je website daar dan naartoe koppelen", zegt Jan Guldentops, de gedelegeerd bestuurder van beveiligingsconsulent Better Access uit Wijgmaal. Vasco verwacht "significante toekomstige groei" voor de dienst. Datzelfde platform gebruikt Vasco voortaan ook voor consumenten. Vasco mag dan "meer dan 100 miljoen" Digipassen hebben uitstaan, het bedrijf uit Wemmel kent zijn eindgebruikers niet. Met mydigipass.com is dat voor het eerst wel het geval, wijst Jan Valcke. Ook de aanpak van de markt verschilt. Bij banken en ondernemingen verkoopt Vasco aan de directie. Deze keer wil Vasco de vraag van onderuit laten groeien, via kleine bedrijven en via de consumenten zelf. "Het is een megaonderneming", geeft Alex Ongena (49) ruiterlijk toe. In 2006 verkocht hij zijn internetbeveiligingsbedrijf Able, het huidige Vasco Mechelen, met de verzekering dat hij de ontwikkeling van Digipass as a Service mocht leiden. "Wij krijgen dagelijks de vraag waarom je 17 digipassen nodig hebt voor je banken, en dan nog eens eentje voor het werk. We moeten naar centralisatie. Het ultieme doel is met één Digipass al uw applicaties te beveiligen." "Het bedrijf moet de websitebouwers zover krijgen dat ze Digipass gebruiken voor authenticatie op hun website", zegt Guldentops. "Doorbreken als uniek authenticatiesysteem voor de hele e-commercewereld is de natte droom van het hele managementteam, en van de aandeelhouders." "Als je meer toepassingen hebt, heb je meer gebruikers. Als je meer gebruikers hebt, sluiten meer toepassingen aan. Je moet dat ecosysteem aan de gang krijgen", vervolgt Ongena. Daarom nodigt Jan Valcke tegenwoordig mediabedrijven uit in de businessloge van Vasco op KV Kortrijk. Zij vormen natuurlijke klanten omdat ze geld verliezen als de paswoorden voor hun onlineabonnementen worden doorgegeven. Dat wordt moeilijker met eenmalige paswoorden zoals de Digipass die produceert. Voor websitebouwers probeert Vasco de drempel zo laag mogelijk te maken door zijn authenticatiesoftware te verpakken in stukjes software, 'plug-ins', die heel eenvoudig te integreren zijn. Er zijn er al voor het populaire blogplatform WordPress, voor het contentmanagementsysteem Drupal en voor Magento, een software waarmee miljoenen webshops zijn gemaakt. Aan de kant van de gebruiker probeert Vasco zijn Digipass "alomtegenwoordig" te maken voor de consument. "Met onze Digipass+ strategie laten de banken hun bestaande Digipassen met ons platform communiceren. Intel integreert de Digipass sinds 2010 in zijn processoren. Hetzelfde gaan we doen met ARM, dat processoren maakt voor smartphones. In België kan je nu je elektronische identiteitskaart met de Digipass gebruiken. En dan is er nog de gratis mydigipass-app voor Android en iPhone." Valcke wil dit jaar meer dan 100 miljoen 'slapende' Digipassen in de markt hebben, klaar voor activatie. In de komende twee jaar moeten dat er nog veel meer worden. Gebruikers kunnen op hun gratis mydigipass-account zelf een startpagina aanmaken, om dan via mydigipass in te loggen naar hun favoriete sites. Zijn eerste acties richt Vasco op gamingsites (Blizzard Entertainment is een klant) en op webhandelaren die zeker willen zijn van de identiteit van hun klanten. "Facebook, LinkedIn, Google en Twitter zijn nog niet aan boord", lacht Valcke. "We hebben een klein kantoortje opgericht aan de Amerikaanse Westkust. Daar richten we ons specifiek op dat soort bedrijven. Er zijn heel wat gesprekken gaande, ook in Europa." Geld wil Vasco volgens twee modellen verdienen. Websites kunnen een krediet aan authenticaties en aan activatiecodes (registraties van klanten) kopen. De instapformule kost 2000 euro, voor 10.000 authenticaties en 500 registraties. Een tweede inkomstenmodel is volgens prestatie. "Deze websites betalen alleen als de mydigipass-gebruikers effectief een transactie doen op hun site. Daar krijgen we dan een commissie voor", legt woordvoerder Jochem Binst uit. De hoogte van de commissie varieert. Maar Vasco wil ook geld verdienen aan het ecosysteem zelf. "Als de klanten van die websites mydigipass elders gebruiken om iets te kopen, dan krijgen we ook daar een commissie voor. Van die commissie is 70 procent voor ons, en 30 procent voor de site waar de klant zich eerst heeft ingeschreven. Dat wordt allemaal bijgehouden door een neutrale derde partij, een trackingbedrijf." Vasco werkt daarvoor samen met het Nederlandse bedrijf TradeTracker, een concurrent van het Gentse Doggybites. Een Belgische expert in beveiliging, die niet bij naam genoemd wil worden, wijst erop dat mydigipass.com informatie verzamelt over zijn klanten, zoals ook in de privacyverklaring staat. "Vasco krijgt informatie over alle sites waar je naartoe surft en die gebruikmaken van zijn authenticatie. In zijn privacyverklaring staat zelfs dat het bedrijf informatie inzamelt over de producten en diensten die deze sites verschaffen. Aangezien je steeds dezelfde account gebruikt, is het in principe mogelijk dat websites hun data- bases aan elkaar koppelen en een uitgebreider profiel van je aanleggen." Vasco preciseert dat het "deze informatie kan aanwenden om de gebruiker vrijblijvend betere en/of relevantere diensten voor te stellen". Alex Ongena vindt dat mydigipass.com juist de privacy versterkt: "Wij geven de gebruiker de controle over welke informatie hij met welke site wil delen, of net niet. Via mydigipass.com kan hij dat op één plaats beheren." Probleem is dat elke website vrij blijft om extra informatie te vragen bij de registratie van de gebruiker, erkent Vasco. Met zijn aanpak begeeft Vasco zich op een totaal nieuwe markt, de profilering van internetgebruikers en vermarkting van informatie. Anderen zien daar al veel langer kansen. Microsoft lanceerde al in de jaren negentig zijn Microsoft Passport, later herdoopt tot Windows Live ID en tegenwoordig bekend als 'Microsoft-account'. Ook bedrijven als Facebook, Twitter of Google treden op als identity provider en volgen hun klanten op het internet via een systeem dat OAuth heet. Vorige maand lanceerde de opensourcebeweging Mozilla nog een techniek onder de naam Persona, dit keer met de uitdrukkelijke bedoeling om tracking tegen te gaan. Vasco probeert zich van deze systemen te onderscheiden door daar sterke authenticatie aan toe te voegen. En dat is nodig, ondervond Wired-journalist Mat Honan in augustus, toen zijn Gmail-account samen met de rest van zijn digitale leven door hackers werden gewist. "Had ik tweefactorauthenticatie gebruikt, was dit mogelijk allemaal niet gebeurd", schrijft hij in zijn analyse. Tweefac- torauthenticatie is het type dat Vasco verkoopt (zie kader Twee is beter dan één). Gmail bood het twee jaar geleden aan als gratis optie, maar Honan gebruikte het niet. Heeft Vasco al iets verdiend aan mydigipass.com? "Het heeft ons enkel geld gekost", bekent Jan Valcke. "Maar we zijn nu ver genoeg gevorderd om te zeggen dat we er vanaf volgend jaar geld mee verdienen. Wij willen zo snel mogelijk tien miljoen consumenten als klant hebben." Vasco overweegt eventueel ook overnames om zijn nieuwe discipline te versterken. Jan Valcke verwacht er mettertijd 100 miljoen euro extra omzet van. BRUNO LEIJNSEIn 2011 was één klant goed voor 17 procent van de omzet van Vasco.